fredag 4 februari 2011

Google ger $20.000 extra till den som knäcker Chrome

Om ungefär en månad börjar säkerhetskonferensen CanSecWest där även tävlingen Pwn2Own kommer gå av stapeln. Pwn2Own är en tävling där deltagarna får ge sig på fullt patchade versioner av exempel de fyra stora browsrarna (IE, Firefox, Safari, Chrome). Det handlar alltså om att ha skrivit en 0-day. Den som först lyckas, får en prissumma på $10,000 + den hårdvara som mjukvaran körde på. Därav namnet Pwn2Own.

Förra året var det ingen som lyckades knäcka Chrome, något som uppmärksammade av bland annat mig då jag skrev presentationen av våra invited speakers till OWASP AppSec Research 2010.

Som jag skrev för några veckor sedan anser jag det vara mycket bra att Google ger tydliga ekonomiska incitament för att Chrome ska säkerhetstestas och buggar skall rapporteras till dem. Däremot när Google nu skjuter till $20.000 extra för den här specifika tävlingen är jag inte så säker på att det är en bra idé.

Anledningen till att det kan vara en dålig idé hittar man i tidigare års Pwn2Own. Vinnare för Safari har nämligen alltid (2008,2009,2010) varit Charlie Miller. Efter att ha kammat hem vinsten andra året berättade han i en intervju att sårbarheten han utnyttjat hade han hittat redan inför tävlingen 2008. Men eftersom han inte fick några extra pengar för den 2008, hade han istället sparat på den. Efter vinsten 2010 så tillkännagav han att han satt på inte mindre än 20 sårbarheter som han inte rapporterade. Det kunde man ana redan i intervjun 2009, då Charlie Miller propagerade för kampanjen "No More Free Bugs".

Så... är det verkligen så smart av Google att det erbjuds totalt $30,000 för något Google så sent som i januari bara betalade $3133,7 för? Risken blir överhängande att istället för att rapportera in buggarna när de hittas, sparar man på dem till ett tillfälle då de ger mer. Och under tiden ligger sårbarheterna kvar... Å andra sidan, en gång om året kan Google räkna med att göra storslam och suga upp samtliga kritiska buggar någon hittat. Och för $30.000 kommer deras webbläsare garanterat få all testning som finns tillgänglig. Snacka om att rita en måltavla!

Inga kommentarer:

Skicka en kommentar